प्रभाव
API कुञ्जीहरू, टोकनहरू, वा प्रमाणहरू जस्ता गोप्यहरू लीक गर्दा संवेदनशील डेटामा अनधिकृत पहुँच, सेवा प्रतिरूपण, र स्रोत दुरुपयोग [S1] को कारणले महत्त्वपूर्ण वित्तीय नोक्सान हुन सक्छ। एक पटक गोप्य सार्वजनिक भण्डारमा प्रतिबद्ध भएपछि वा फ्रन्टएन्ड एप्लिकेसनमा बन्डल भएपछि, यसलाई [S1] सम्झौता गरिनु पर्छ।
मूल कारण
मूल कारण सीधै स्रोत कोड वा कन्फिगरेसन फाइलहरूमा संवेदनशील प्रमाणहरू समावेश गर्नु हो जुन पछि संस्करण नियन्त्रणमा प्रतिबद्ध छ वा ग्राहक [S1] लाई सेवा दिइन्छ। विकासकर्ताहरूले प्रायः विकासको समयमा सुविधाको लागि हार्ड-कोड कुञ्जीहरू वा संयोगवश .env फाइलहरूलाई तिनीहरूको प्रतिबद्धतामा समावेश गर्दछ [S1]।
कंक्रीट फिक्सहरू
१. रोटेट कम्प्रोमाइज्ड सेक्रेट्स: यदि कुनै गोप्य बाहिरिएको छ भने, यसलाई खारेज गरी तुरुन्तै प्रतिस्थापन गर्नुपर्छ। कोडको हालको संस्करणबाट गोप्य हटाउनु मात्र अपर्याप्त छ किनभने यो संस्करण नियन्त्रण इतिहास [S1][S2] मा रहन्छ।
- पर्यावरण चरहरू प्रयोग गर्नुहोस्: गोप्य कुराहरूलाई हार्ड-कोडिङ गर्नुको सट्टा वातावरण चरहरूमा भण्डार गर्नुहोस्।
.envफाइलहरू.gitignoreमा आकस्मिक कमिटहरू [S1] लाई रोक्नको लागि थपिएको सुनिश्चित गर्नुहोस्। - गोप्य व्यवस्थापन लागू गर्नुहोस्: रनटाइम [S1] मा अनुप्रयोग वातावरणमा प्रमाणहरू इन्जेक्ट गर्न समर्पित गोप्य व्यवस्थापन उपकरणहरू वा भल्ट सेवाहरू प्रयोग गर्नुहोस्।
४. पर्ज रिपोजिटरी इतिहास: यदि Git मा गोप्य कुरा गरिएको थियो भने, git-filter-repo वा BFG Repo-Cleaner जस्ता उपकरणहरू प्रयोग गर्नुहोस् भण्डार इतिहास [S2] मा सबै शाखा र ट्यागहरूबाट संवेदनशील डेटा स्थायी रूपमा हटाउन।
कसरी FixVibe यसको लागि परीक्षण गर्दछ
FixVibe ले अब यसलाई लाइभ स्क्यानहरूमा समावेश गर्दछ। निष्क्रिय secrets.js-bundle-sweep ले समान-मूल JavaScript बन्डलहरू डाउनलोड गर्दछ र ज्ञात API कुञ्जी, टोकन, र एन्ट्रोपी र प्लेसहोल्डर गेटहरूसँग क्रेडेन्सियल ढाँचाहरू मिलाउँछ। सम्बन्धित प्रत्यक्ष जाँचहरूले ब्राउजर भण्डारण, स्रोत नक्सा, प्रमाणीकरण र BaaS ग्राहक बन्डलहरू, र GitHub रेपो स्रोत ढाँचाहरूको निरीक्षण गर्दछ। Git इतिहास पुनर्लेखन एक उपचार कदम रहन्छ; FixVibe को लाइभ कभरेजले पठाइएका सम्पत्तिहरू, ब्राउजर भण्डारण, र हालको रेपो सामग्रीहरूमा रहेको गोप्य कुराहरूमा केन्द्रित छ।